Choisir une option de VPN

Google Cloud propose deux types de passerelles : les passerelles VPN haute disponibilité et les passerelles classiques.

Pour savoir comment migrer vers un VPN haute disponibilité, consultez la page Passer d'un VPN classique à un VPN haute disponibilité.

VPN haute disponibilité

Un VPN haute disponibilité est une solution Cloud VPN offrant une disponibilité élevée. Ce type de VPN vous permet de connecter votre réseau local à votre réseau de cloud privé virtuel (VPC) via une connexion VPN IPsec située dans une seule région. Les VPN haute disponibilité garantissent un taux de disponibilité de 99,99 %.

Lorsque vous créez une passerelle VPN haute disponibilité, Google Cloud choisit automatiquement deux adresses IP publiques correspondant à chacune de ses deux interfaces. Chaque adresse IP est automatiquement sélectionnée parmi un pool d'adresses unique afin de garantir une disponibilité élevée. Chacune des interfaces de passerelle VPN haute disponibilité accepte plusieurs tunnels. Vous pouvez également créer plusieurs passerelles VPN haute disponibilité.

Une seule interface active et une seule adresse IP publique suffisent pour configurer une passerelle VPN haute disponibilité. Toutefois, cette configuration ne remplit pas le contrat de niveau de service de 99,99 % de disponibilité.

Dans la documentation de l'API et dans les commandes gcloud, les passerelles VPN haute disponibilité sont appelées passerelles VPN, plutôt que passerelles VPN cibles.

Vous n'avez pas à créer de règles de transfert pour les passerelles VPN haute disponibilité.

Les VPN haute disponibilité utilisent une ressource de passerelle VPN externe disponible dans Google Cloud pour fournir à celui-ci des informations sur votre ou vos passerelles VPN de pairs. Pour plus d'informations, consultez la définition des ressources de passerelle VPN externe et des passerelles VPN de pairs.

Le schéma suivant illustre le concept de VPN haute disponibilité avec une topologie qui inclut la connexion de deux interfaces d'une passerelle VPN haute disponibilité à deux passerelles VPN de pairs. Pour accéder à des topologies de VPN haute disponibilité plus détaillées (incluant des scénarios de configuration), consultez la page Topologies Cloud VPN.


Graphique représentant une passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez pour agrandir)
Graphique représentant une passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez pour agrandir)

Configuration requise pour les VPN haute disponibilité

Pour atteindre un niveau de service disponible à 99,99 % pour les VPN haute disponibilité, votre configuration Cloud VPN doit répondre aux exigences suivantes :

  • Lorsque vous connectez une passerelle VPN haute disponibilité à votre passerelle homologue, la disponibilité à 99,99 % est garantie uniquement du côté Google Cloud de la connexion. La disponibilité de bout en bout est soumise à une configuration appropriée de la passerelle VPN de pairs.
  • Une disponibilité de 99,99 % de bout en bout est garantie si les deux côtés sont des passerelles Google Cloud correctement configurées.
  • Pour garantir une disponibilité élevée lorsque les deux passerelles VPN sont situées dans des réseaux VPC, vous devez utiliser deux passerelles VPN haute disponibilité situées dans la même région. Bien que les deux passerelles doivent être situées dans la même région, les routes dirigées vers leurs sous-réseaux peuvent être situées dans n'importe quelle région, à la condition que votre réseau de cloud privé virtuel utilise le mode de routage dynamique global. Si votre réseau VPC utilise le mode de routage dynamique régional, seuls les routages vers les sous-réseaux sont partagés avec le réseau de pairs. Les routes apprises ne s'appliquent qu'aux sous-réseaux situés dans la même région que le tunnel VPN. Pour en savoir plus sur le mode de routage dynamique d'un réseau VPC, consultez la page de présentation des réseaux VPC.
  • Les VPN haute disponibilité rejettent les adresses IP Google Cloud configurées dans une ressource de passerelle VPN externe, par exemple lorsque l'adresse IP externe d'une instance de VM fait office d'adresse IP publique pour la ressource de passerelle VPN externe. Une seule topologie de VPN haute disponibilité "de Google Cloud vers Google Cloud" est acceptée : les deux côtés du réseau doivent disposer d'un VPN haute disponibilité, comme indiqué dans la section Créer des passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud.
  • Vous devez configurer deux tunnels VPN du point de vue de la passerelle Cloud VPN :
    • Si vous disposez de deux passerelles VPN de pairs, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre passerelle de pairs.
    • Si vous disposez d'une passerelle VPN de pairs à deux interfaces, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre interface sur la passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à une seule interface, vous devez connecter les deux tunnels de chaque interface de la passerelle Cloud VPN à la même interface sur la passerelle de pairs.
  • Les appareils de VPN de pairs doivent être configurés avec une redondance adéquate. Le fournisseur de l'appareil spécifie les critères d'une configuration suffisamment redondante, qui peut éventuellement nécessiter plusieurs instances matérielles. Pour en savoir plus, reportez-vous à la documentation du fournisseur de l'appareil du VPN de pairs. Si deux appareils de pairs sont requis, vous devez connecter chaque appareil à une passerelle VPN haute disponibilité différente. Si un côté appairé utilise un autre fournisseur de services cloud comme AWS, vous devez définir une redondance adéquate pour les connexions VPN du côté AWS.
  • Votre passerelle VPN de pairs doit accepter le routage dynamique (BGP).

VPN classique

Contrairement aux passerelles VPN haute disponibilité, les passerelles VPN classiques présentent une seule interface et une seule adresse IP externe. Elles acceptent les tunnels qui utilisent le routage dynamique (BGP) ou statique (basé sur des routes ou sur des règles). Leur contrat de niveau de service garantit une disponibilité de 99,9 %.

Pour en savoir plus sur les topologies de VPN classiques, consultez la page Topologies classiques des VPN.

Dans la documentation de l'API et dans les commandes gcloud, les VPN classiques sont appelés passerelles VPN cibles.

Tableau de comparaison

Le tableau suivant compare les fonctionnalités des VPN haute disponibilité avec celles des VPN classiques.

Fonctionnalité VPN haute disponibilité VPN classique
Contrat de niveau de service Fournit un contrat de niveau de service de 99,99 %, à la condition qu'il soit configuré avec deux interfaces et deux adresses IP publiques Fournit un contrat de niveau de service de 99,9 %
Création d'adresses IP publiques et de règles de transfert Adresses IP publiques créées à partir d'un pool. Aucune règle de transfert requise Vous devez créer des adresses IP publiques et des règles de transfert.
Options de routage acceptées Routage dynamique uniquement Routage statique basé sur des règles ou sur des routes, ou routage dynamique utilisant BGP
Deux tunnels entre une passerelle Cloud VPN et la même passerelle de pairs Compatible Incompatible
Ressources liées aux API Appelées "ressources vpn-gateway" Appelées "ressources target-vpn-gateway"

Étapes suivantes

Créer des VPN haute disponibilité

Créer des VPN classiques

Configurations avancées

  • Pour en savoir plus sur les scénarios à haute disponibilité, à haut débit ou à plusieurs sous-réseaux, consultez la page Configurations avancées.

Gérer les Cloud VPN